Jump to content
Sign in to follow this  
Pitbull

Ereignissanzeige - Sicherheit

Recommended Posts

Guten Morgen Leute,

 

mal wieder ne frage von mir. wir haben hier im Haus auf den Clients Windows NT/2000/XP. Wir protokollieren auf den Clients mit wann sich wer draufgeschaltet hat, ob über Dameware oder einfach nur auf ein Laufwerk.

mein aufgabe ist folgende: gibt es eine möglichkeit, das die Ereignisanzeige - Sicherheit von Administratoren nicht gelöscht werden kann. fragt bitte nicht nach dem warum ;)

hab bereits probiert auf die Datei "SecEvent.Evt" die Löschrechte zu entziehen. hilft aber leider nicht. habt ihr da noch ne idee?

 

Grüße

 

Pitbull

Share this post


Link to post

Kannst Du nicht einen Batch schreiben, der die Securityeinträge alle 5 Minuten loggt und dann machste einen abgleich, welcher Admin bei euch im Haus der ***** ist.

 

wenn da differenzen sind, dann könnt ihr ihn killen.

Share this post


Link to post

hmmm...gute idee ;) geht leider nicht nur um admins.....haben erst eine ganz findigen hacker im haus gehabt...

wir wollen die quasi, allein lassen und das soll dann einfach weiterlaufen...das im prinzip niemand, ausser dem system, das logfile löschen/überschreiben kann...

Share this post


Link to post

hmm...

 

schau mal ob in der domänenrichtlinie unter lokale richtlinien der schlüssel

 

Überwachungs- und Sicherheitsprotokoll verwalten

 

etwas bringt.

 

Aber! Wenn Du einen Hacker hast, der merkt beim ersten Löschversuch der fehlschlägt, das etwas im Busch ist und wird zu einem Maulwurf.

 

Gescheiter ist es eine vom Betriebsrat genehmigte Videoüberwachung der Arbeitsstationen bzw. der vermuteten Arbeitsplätze.

 

Die Remotezugriffe werden ja separat gesteuert.

 

evt. bringt auch ein keylogger etwas (vorher betriebsrat fragen), aber den dürfte ein hacker Admin auch finden....und wäre gewarnt.

 

oder mach es wie die profis, setzte eine Fallgrube auf (z.Bsp. ein Ordner der nur für die Vorstandsetage zugägnlich ist, der hohe Sicherheitsrichtlinien hat und der ANGEBLICH vertrauliche Daten enthält LOHN, GEWINN, UNTERNEHMENSPLÄNE und beobachte....

 

Wenn es einer von deinem Team ist, dann mach ein meeting und erkläre, das der vorstand das jetzt braucht, arbeite vielleicht noch mit Keycards oder dongle und schau wer sich von deinen kollegen verdächtig verhält.

 

aber erschiessen darfste den/die nicht, dafür ist dann die Polizei zuständig, sonst bekommste ärger mit Betriebsrat...;-))

 

 

 

 

Ermöglicht einem Benutzer die Angabe von Überwachungsoptionen für den Objektzugriff auf persönliche Ressourcen, beispielsweise Dateien, Active Directory-Objekte und Registrierungsschlüssel. Die Überwachung der Objektzugriffe wird jedoch nur dann tatsächlich ausgeführt, wenn diese unter Gruppenrichtlinie in den Einstellungen für die Überwachungsrichtlinien oder unter der in Active Directory festgelegten Gruppenrichtlinie für diesen Computer aktiviert wurde. Ein Zugriff auf die systemweite Überwachungsrichtlinie wird durch die Vergabe dieses Privilegs nicht gewährt.

Die Vergabe dieses Privilegs an einen Benutzer ermöglicht außerdem das Einsehen und Löschen des Sicherheitsprotokolls in der Ereignisanzeige.

Share this post


Link to post

das wär ansich ein gute tipp!

aber wir wollen eigentlich nur die anmelde/abmelde vorgänge auf der maschine loggen und das soll man aber nicht löschen können(ausservielleicht als megaspeical user), aber eben nicht als admin...sprich es soll als überwachung für vom admin dienen, damit nachgewiesen kann wann wer wo auf der client war. damit kein missbrauch von daten passiert...geht sowas überhaupt mit boardmitteln?

Share this post


Link to post

Hi!

 

Versuche mal folgendes:

 

Start -> Ausführen -> gpedit.msc

 

Computerkonfiguration -> Windows-Einstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Verwalten von Überwachungs- und Sicherheitsprotokollen

 

Superadmingruppe rein und die Admins raus

 

ABER VORSICHT!

 

Erst mal auf einem Testrechner probieren, ob es so geht!

 

Der Superadmin darf dann auch nicht Mitglied der Admin's sein.

 

Günter

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...